Astaroth Malware dringt in Cloudflare-Worker ein, um der Erkennung zu entgehen
In den letzten Nachrichten erregte ein veröffentlichter Bericht über die Verbreitung von Astaroth , einer dateifreien Malware, die die Benutzer plagte, die Aufmerksamkeit der Internet-Sicherheitsgemeinschaft. Diese Bedrohung führte Systemtools aus, die eine komplexe Anfügungskette verwendeten, die keine ausführbaren Dateien verwendete, um ihre Aktionen im Geheimen auszuführen.
Nach dem veröffentlichten Bericht beschloss die Gruppe hinter den Aktionen der Astaroth-Kampagne , ihre Taktik zu ändern . Konkret ging es darum, Cloudflare Workers zu verwenden, um die Kampagne fortzusetzen und der Erkennung auszuweichen. Der Prozess wurde in mehreren Schritten durchgeführt, wie unten erläutert.
Inhaltsverzeichnis
Bühne eins
Die Akteure hinter der Kampagne begannen ihre Arbeit mit einem klassischen Social-Engineering-Schema. Sie haben eine Nachricht gesendet, die aussieht wie die üblichen automatisierten E-Mail-Antworten, die Unternehmen für Abrechnungs- oder Prüfungsanfragen erhalten. Es wurde auch ein HTML-Anhang verwendet, der nicht zu verbergen versucht, dass es sich tatsächlich um eine HTML-Datei handelt. Das ist jetzt ein einfacher Fall, in dem HTML verwendet wird, da es speziell zum Verschleiern und Enthalten eines Javascript-Codes erstellt wurde.
Es beginnt mit einer einfachen Base64-Zeichenfolge für die ArrayBuffer-Funktion, gefolgt von der Base64-codierten URL, mit der der nächste Schritt des Angriffs ausgeführt wird. Der dritte Abschnitt wird verwendet, um ein Blob-Objekt im Browserspeicher basierend auf der URL zu generieren und in der Browsersitzung herunterzuladen. Es gibt Füllabschnitte in der Datei, die nicht zum Prozess beitragen.
Durch die Verwendung von Cloudflare bieten die Akteure eine zusätzliche Sicherheitsebene, in der automatisierte Analysetools oder Sandboxes die Herausforderungsseite erhalten und nicht die tatsächliche Nutzlast von Astaroth. Cloudflare IP Geolocation fügt allen Anforderungen, die von infizierten Computern an den Hostserver gesendet werden, einen Header mit dem Namen "CF-IPCountry" hinzu. Ein Besucher von brasilianischen IPs kann die tatsächliche Nutzlast des zweiten Schritts sehen. Um den zweiten Schritt des Angriffs zu generieren, wird die JSON der URL analysiert und dann von Base64 in den Array-Puffer konvertiert, der in den Blob-Speicher des Browsers geschrieben und entsprechend der HTML-Datei umbenannt wird. Sobald dies erledigt ist, wird ein Link erstellt und automatisch angeklickt, um ihn in den Browser des infizierten Computers herunterzuladen.
Stufe zwei
Dieser Schritt beginnt mit einer Zip-Datei, die basierend auf den Daten aus der URL erstellt wird. Die Erstellungsmethode hat einige Vorteile gegenüber der üblichen Methode zum Herunterladen einer ZIP-Datei. Der Bedrohungsakteur kann für jedes Ziel unterschiedliche Dateien erstellen und diese über einen einzigen Wegpunkt bereitstellen. Der Netzwerkverkehr blockiert möglicherweise Objekte für Download-Dateien, JSON ist jedoch ein natürlicher Bestandteil des Webs, sodass es nicht blockiert wird. Einige Sicherheitsanbieter identifizieren möglicherweise das Dateiobjekt im Netzwerk und senden es zur Analyse. Dies würde dazu führen, dass die Operation ziemlich schnell aufgedeckt wird.
Cloudflare Worker werden so benannt, indem der Name von Web Worker abgeleitet wird, einer API für Skripts, die im Hintergrund eines Webbrowsers ausgeführt werden und HTTP-Anforderungen abfangen. Mit Cloudflare Workers können Benutzer JavaScript in den zahlreichen Rechenzentren von Cloudflare auf der ganzen Welt ausführen. Die Verwendung eines Workers ermöglicht es einem, eine Reihe von verschiedenen Operationen durchzuführen.
Stufe drei
Die Skriptdatei wird im temporären Verzeichnis unter dem Namen Lqncxmm: vbvvjjh.js gespeichert und mit dem Windows Script Host (Wscript) ausgeführt.. Der Bedrohungsakteur nutzt diese Funktion von Cloudflare zu seinem Vorteil, indem er einen einfachen Zufallszahlengenerator hinzufügt und die URL, die die Nutzdaten des dritten Schritts herunterlädt, zufällig auswählt. Im dritten Schritt werden zehn zufällige und eindeutige Worker-Node-Links für eine Zufallszahl zwischen 20.000 und 50.000 verwendet, die zweimal für jeden der Links verwendet werden. Ein Link kann bis zu 900 Millionen Kombinationen enthalten.
Die Suche nach Stichproben von Astaroth mit URLhaus ergab, dass mindestens ein Analyst in der Lage war, Links zu nehmen und diese zur Analyse einzureichen. Bei jeder Ausführung des Skripts sind die URLs jedoch unterschiedlich. Auf Systemen mit 32-Bit-Windows werden Cloudflare-Links übersprungen und Astaroth verwendet ein privates Google-Repository mit einem statischen Link.
Bedrohungsakteure, die Astaroth einsetzen, scheinen die größte Anstrengung zu unternehmen, um einer Entdeckung zu entgehen und die Forscher und ihre Analyseversuche zu erschweren. Ihre Verwendung von Cloudflare zeigt, dass sie nach innovativen Möglichkeiten suchen, um zufällige Payload-URLs zu generieren und ihre Vorgänge im Falle einer Beeinträchtigung ihrer Arbeit neu aufzubauen.